IDados Pessoais

COMPROMISSO DE EMAIL COMERCIAL: Definição, tipos e exemplos

Conteúdo Esconder
    1. Compreendendo o comprometimento do e-mail comercial
  1. Como é feito o BEC?
    1. #1. Reconhecimento
    2. #2. Falsificação 
    3. #3. Phishing
    4. #4. Exploração
  2. Qual é o principal objetivo do BEC?
  3. Quais são os tipos de BEC?
    1. #1. CEO Fraude
    2. #2. golpes de fatura
    3. #3. Comprometimento da conta 
    4. #4. Representação de advogado
    5. #5. Roubo de dados
  4. Quem são os alvos de fraude do BEC?
    1. #1. Grandes Corporações
    2. #2. Pequenas e Médias Empresas (PMEs)
    3. #3. Agências governamentais
    4. #4. Organizações sem fins lucrativos
    5. #5. indivíduos
  5. O que é BEC x EAC?
  6. Quais são os 4 tipos principais de hacks de e-mail?
    1. #1. Hacks de e-mail baseados em senha
    2. #2. Hacks de falsificação de e-mail
    3. #3. Hacks de encaminhamento de e-mail
    4. #4. Hacks de interceptação de e-mail
  7. Quanto custa um compromisso de e-mail comercial?
  8. Exemplo de comprometimento de e-mail comercial
  9. Golpe de comprometimento de e-mail comercial
  10. Ataque de comprometimento de e-mail comercial
  11. Ferramentas de comprometimento de e-mail comercial
    1. #1. Ferramentas de coleta de e-mail
    2. #2. Ferramentas de falsificação
    3. #3. Programas maliciosos
    4. #4. Ferramentas de rastreamento de e-mail
    5. #5. Técnicas de Engenharia Social
  12. Artigos Relacionados
  13. Referências

A nuvem do céu informou que o FBI recebeu 21,832 reclamações de BEC, com perdas estimadas totalizando mais de US$ 2.7 bilhões ano passado. O comprometimento de e-mail comercial (BEC) ocorre em todo o mundo e a estatística crescente desse crime é alarmante. O BEC acontece quando um hacker entra em uma conta de e-mail corporativa real e a usa para induzir o destinatário a fazer algo que ajude o hacker. Na maioria dos ataques BEC, o invasor finge ser um executivo de alto escalão ou um fornecedor confiável e envia um e-mail que parece real. O e-mail solicita que o destinatário faça algo, como transferir dinheiro, fornecer informações confidenciais ou baixar um arquivo com malware. Infelizmente, esses e-mails parecem convincentes e sofisticados e, como resultado, fazem com que indivíduos e empresas percam muito dinheiro. Portanto, toda empresa precisa implementar medidas ou ferramentas de segurança de e-mail fortes para impedir o ataque ou comprometimento do BEC.

O meio para fazer isso inclui o uso de autenticação de dois fatores, criptografia de e-mail e programas de treinamento para funcionários para ajudá-los a detectar e evitar golpes de phishing.

Compreendendo o comprometimento do e-mail comercial

O propósito de um Business Email Compromise (BEC) é obter acesso a informações privadas pessoais ou de grupo ou recursos financeiros, fazendo-se passar por uma empresa ou organização legítima por e-mail. Em um ataque BEC, um hacker geralmente envia um e-mail fraudulento se passando por uma pessoa ou entidade confiável, como um executivo da empresa, fornecedor ou cliente.

O invasor pode usar várias táticas para convencer o destinatário a realizar uma ação específica, como transferir dinheiro, divulgar informações confidenciais ou clicar em um link ou anexo malicioso. O e-mail pode ser cuidadosamente elaborado para parecer legítimo e pode até usar técnicas de engenharia social para explorar vulnerabilidades humanas.

Os ataques BEC são difíceis de detectar porque geralmente usam técnicas sofisticadas de engenharia social para induzir os funcionários a pensar que o e-mail é real. Algumas variações comuns de ataques BEC incluem fraude de fatura, desvio de folha de pagamento e fraude de CEO, entre outros. Portanto, as empresas precisam usar fortes medidas de segurança de e-mail, como autenticação de dois fatores e filtragem de e-mail, para se protegerem de ataques BEC. Eles também devem ensinar seus funcionários sobre os riscos de ataques de phishing e engenharia social. Além disso, as empresas devem ter políticas e procedimentos para verificar a autenticidade de qualquer solicitação de informações confidenciais ou transações financeiras

Como é feito o BEC?

Os ataques BEC geralmente são altamente sofisticados e podem ser difíceis de detectar, pois geralmente dependem de táticas de engenharia social e erro humano, em vez de vulnerabilidades técnicas. Para se proteger contra ataques BEC, as organizações devem implementar protocolos de segurança fortes, como autenticação multifator, bem como fornecer programas de treinamento e conscientização para seus funcionários para ajudá-los a reconhecer e evitar ataques BEC. O comprometimento de e-mail comercial (BEC) é um tipo de crime cibernético que envolve o uso de e-mails fraudulentos para enganar indivíduos dentro de uma organização a realizar ações que beneficiem o invasor. Os ataques BEC geralmente envolvem as seguintes etapas:

#1. Reconhecimento

O invasor realiza pesquisas sobre a organização-alvo, geralmente por meio de táticas de engenharia social, para identificar indivíduos-chave e suas funções dentro da organização.

#2. Falsificação 

O invasor cria um e-mail fraudulento que parece ser de uma fonte confiável, como um executivo de alto escalão da organização ou um fornecedor. O e-mail foi criado para parecer legítimo e pode incluir detalhes como nome do alvo, cargo e outras informações relevantes.

#3. Phishing

O invasor envia o e-mail fraudulento para um ou mais indivíduos dentro da organização, geralmente solicitando que executem uma tarefa como clicar em um link malicioso, transferir fundos para uma conta específica ou fornecer informações confidenciais.

#4. Exploração

Se o alvo cair no golpe, ele involuntariamente fornecerá ao invasor as informações ou o acesso de que ele precisa para realizar o ataque. Por exemplo, se o invasor solicitar uma transferência eletrônica, o alvo pode fornecer ao invasor detalhes bancários ou outras informações confidenciais, que podem ser usadas para redirecionar fundos para a conta do invasor.

Qual é o principal objetivo do BEC?

O principal objetivo do Business Email Compromise (BEC) é enganar os indivíduos dentro de uma organização para que executem ações que beneficiem o invasor. O objetivo final do ataque geralmente é o ganho financeiro, embora os invasores também possam estar interessados ​​em roubar informações confidenciais ou obter acesso a sistemas críticos.

Técnicas de engenharia social, como e-mails falsos, costumam ser usadas em ataques BEC para fazer com que os funcionários façam coisas que parecem legítimas, mas que na verdade ajudam o invasor. Por exemplo, um invasor pode enviar um e-mail que parece ser de um executivo de alto escalão de uma organização, solicitando que uma transferência eletrônica seja feita para uma conta específica. Se o funcionário cair no golpe, ele pode involuntariamente transferir fundos para a conta do invasor, levando a uma perda financeira para a organização.

Os ataques BEC podem render muito dinheiro aos invasores, porque podem levar ao envio de grandes quantias de dinheiro para suas contas. Os ataques também podem ser difíceis de detectar porque geralmente usam técnicas de engenharia social e erros humanos em vez de falhas técnicas. Por isso, é importante que as organizações tenham protocolos de segurança fortes e programas de treinamento e conscientização para seus funcionários para ajudá-los a reconhecer e evitar ataques de BEC.

Quais são os tipos de BEC?

Existem vários tipos de ataques de comprometimento de e-mail comercial (BEC), cada um com suas próprias características e métodos de execução específicos. A seguir estão alguns dos tipos mais comuns de ataques BEC:

#1. CEO Fraude

Nesse tipo de ataque, o invasor finge ser um executivo de alto escalão da empresa, como o CEO ou o CFO, e envia um e-mail a um funcionário solicitando que ele faça algo, como transferir dinheiro para uma determinada conta.

#2. golpes de fatura

Nesse ataque, o invasor finge ser um fornecedor ou fornecedor e envia um e-mail a um funcionário solicitando o pagamento de uma fatura que não foi paga. O e-mail pode incluir uma fatura fraudulenta ou uma solicitação de informações de pagamento atualizadas.

#3. Comprometimento da conta 

Nesse tipo de ataque, o invasor entra na conta de e-mail de um funcionário e a utiliza para enviar e-mails falsos para outros funcionários da mesma empresa. Esses e-mails geralmente solicitam que outros funcionários transfiram dinheiro ou forneçam informações confidenciais.

#4. Representação de advogado

Nesse tipo de ataque, o invasor finge ser um advogado ou representante legal e envia um e-mail a um funcionário, solicitando que ele faça algo como mover dinheiro para uma determinada conta ou fornecer informações confidenciais.

#5. Roubo de dados

Nesse tipo de ataque, o invasor obtém acesso a informações confidenciais, como credenciais de login ou informações financeiras, por meio de um e-mail fraudulento ou outros meios. O invasor pode usar essas informações para obter ganhos financeiros ou para realizar novos ataques.

Os ataques BEC costumam ser muito sofisticados e difíceis de detectar porque dependem de engenharia social e erros humanos em vez de falhas técnicas. Por isso, é importante que as organizações tenham protocolos de segurança fortes e programas de treinamento e conscientização para seus funcionários para ajudá-los a reconhecer e evitar ataques de BEC.

Quem são os alvos de fraude do BEC?

As fraudes de comprometimento de e-mail comercial (BEC) podem atingir uma ampla gama de indivíduos e organizações, embora normalmente se concentrem em empresas e outras entidades que realizam transações financeiras regularmente. Alguns alvos comuns de fraudes BEC incluem:

#1. Grandes Corporações

Os golpes de BEC também perseguem grandes empresas, que podem ter estruturas e processos financeiros complicados que podem ser usados ​​contra eles.

#2. Pequenas e Médias Empresas (PMEs)

Devido aos seus controles de segurança geralmente negligentes e à falta de pessoal dedicado de TI e segurança, as SMBs são frequentemente alvo de fraudes de BEC. Essas empresas podem ser mais vulneráveis ​​a táticas de engenharia social e outras formas de cibercrime.

#3. Agências governamentais

Os golpes de BEC também podem ser usados ​​para tirar dinheiro de agências governamentais, especialmente aquelas que lidam com dinheiro ou informações confidenciais.

#4. Organizações sem fins lucrativos

Organizações sem fins lucrativos também são alvos potenciais de fraudes BEC, especialmente aquelas que lidam com grandes quantias de dinheiro ou informações confidenciais.

#5. indivíduos

Enquanto as fraudes BEC geralmente visam empresas e organizações e indivíduos. Por exemplo, um invasor pode enviar um e-mail fraudulento para um indivíduo que se faz passar por um familiar ou amigo que precisa de assistência financeira.

A engenharia social e o erro humano tornam as fraudes BEC difíceis de detectar. Para evitar fraudes BEC, pessoas e organizações devem criar processos de segurança fortes e conduzir iniciativas de treinamento e conscientização.

O que é BEC x EAC?

BEC (Business Email Compromise) e EAC (Email Account Compromise) são dois tipos de ataques cibernéticos semelhantes, mas distintos, que envolvem acesso não autorizado a contas de e-mail com o objetivo de obter ganhos financeiros.

Os ataques BEC geralmente envolvem o uso de táticas de engenharia social para induzir os funcionários a transferir fundos ou divulgar informações confidenciais ao invasor. O invasor pode se passar por um indivíduo confiável, como um CEO ou fornecedor, para enganar a vítima. Os ataques BEC geralmente são altamente direcionados e podem envolver reconhecimento extensivo para coletar informações sobre a organização-alvo.

Depois de obter acesso, o invasor pode utilizar a conta para phishing, roubo de identidade ou transações financeiras ilegais.

Os ataques BEC usam engenharia social para persuadir as vítimas a concluir atividades específicas, enquanto os ataques EAC exigem acesso e gerenciamento não autorizados de contas de e-mail. Ambos podem ser prejudiciais para empresas e indivíduos. A autenticação multifator e o treinamento de conscientização de segurança podem prevenir e mitigar os dois tipos de ataques.

Quais são os 4 tipos principais de hacks de e-mail?

Existem vários tipos de hacks de e-mail, mas aqui estão quatro tipos principais:

#1. Hacks de e-mail baseados em senha

Nesse tipo de hack, o invasor obtém acesso a uma conta de e-mail adivinhando ou roubando a senha do usuário. Os invasores podem obter senhas de várias maneiras, como por meio de phishing, malware ou engenharia social.

#2. Hacks de falsificação de e-mail

Aqui, o invasor envia um e-mail que parece ser de uma fonte legítima, como um banco ou agência governamental. No entanto, é realmente fraudulento. Isso pode ser usado para induzir a vítima a fornecer informações confidenciais ou lançar mais ataques.

#3. Hacks de encaminhamento de e-mail

Nesse tipo de hack, o invasor configura o encaminhamento de e-mail para uma conta de e-mail diferente sem o conhecimento do usuário. Isso permite que o invasor leia e responda aos e-mails da vítima sem seu conhecimento.

#4. Hacks de interceptação de e-mail

Nesse tipo de hack, o invasor intercepta e-mails enquanto a vítima os envia ou os recebe. Eles fazem isso comprometendo a rede da vítima ou usando um ataque Man-in-the-Middle (MitM).

Quanto custa um compromisso de e-mail comercial?

O custo de um ataque de Business Email Compromise (BEC) pode variar muito, dependendo de vários fatores. Isso pode incluir o tamanho da organização, a quantidade de dinheiro roubado e a duração do ataque. O Internet Crime Complaint Center (IC3) do FBI diz que, entre 2016 e 2019, os ataques BEC causaram mais de US$ 26 bilhões em perdas. Isso é bastante se você me perguntar.

Em alguns casos, as perdas de um ataque BEC podem ser relativamente pequenas, como alguns milhares de dólares. No entanto, em outros casos, as perdas podem ser muito maiores. Por exemplo, em 2019, um lituano foi condenado a cinco anos de prisão por seu papel em um esquema BEC que fraudou duas empresas de tecnologia em mais de US$ 100 milhões.

Além das perdas financeiras diretas de um ataque BEC, pode haver grandes custos indiretos, como o custo de investigar e corrigir o ataque, perda de produtividade, danos à reputação e o risco de multas regulatórias e ações legais.

As empresas precisam tomar medidas para interromper os ataques BEC. Isso inclui a implementação de controles de segurança robustos, programas de treinamento e conscientização dos funcionários e verificação de todas as solicitações de pagamento e alterações nas informações de pagamento por meio de vários canais.

Exemplo de comprometimento de e-mail comercial

A business email compromise (BEC) is a type of cyberattack that targets businesses and organizations by impersonating a company executive or employee to deceive others into sending money, revealing sensitive information, or performing some action.

Digamos que o CEO de uma empresa se chame John Smith e seu endereço de e-mail seja [email protegido]. Um invasor cria uma conta de e-mail falsa com um endereço semelhante ao de John, como [email protegido], usando uma letra 'r' de aparência semelhante em vez de um "i". O invasor então envia um e-mail ao contador da empresa, solicitando a transferência de US$ 50,000 para a conta bancária de um fornecedor, alegando que é um pagamento urgente que precisa ser feito imediatamente.

O e-mail parece legítimo e o contador, sem desconfiar de nada, transfere o dinheiro para a conta do vendedor. O invasor retira os fundos e desaparece, deixando a empresa com $ 50,000. Este é apenas um exemplo de como os ataques BEC funcionam e podem assumir várias formas, como golpes de phishing ou faturas falsas. É importante que as empresas estejam cientes desses tipos de ataques e tomem medidas para se proteger, como implementar a autenticação multifator e treinar funcionários para que estejam cientes dos perigos do BEC.

Golpe de comprometimento de e-mail comercial

Um golpe de comprometimento de e-mail comercial (BEC) é um tipo de ataque cibernético que envolve a representação de uma entidade comercial legítima para enganar outras pessoas para que transfiram dinheiro, forneçam informações confidenciais ou executem alguma ação. Veja como funciona um golpe BEC típico:

  • O invasor geralmente entra na conta de e-mail de um funcionário por meio de phishing ou invadindo a rede da empresa.
  • O invasor consulta o e-mail do funcionário para descobrir como a empresa faz negócios, como os nomes dos fornecedores, as quantias de dinheiro que geralmente são transferidas e quando os pagamentos geralmente são feitos.
  • O invasor então se faz passar por um executivo de alto nível, como o CEO, CFO ou COO, e envia um e-mail ao funcionário responsável pelas transações financeiras, como o contador ou tesoureiro.
  • O e-mail instrui o funcionário a fazer um pagamento urgente a um fornecedor ou contratado, geralmente usando uma fatura falsa ou outra documentação que pareça legítima.
  • O e-mail pode usar urgência, medo ou autoridade para pressionar o funcionário a efetuar o pagamento rapidamente, sem questionar o pedido.
  • O funcionário segue as instruções porque acha que o e-mail é real. Muitas vezes, isso significa enviar grandes quantias de dinheiro para uma conta falsa controlada pelo invasor.
  • O invasor retira os fundos e desaparece, deixando a empresa sem dinheiro e potencialmente prejudicando sua reputação.

Ataque de comprometimento de e-mail comercial

Um ataque de comprometimento de e-mail comercial (BEC) é um tipo de ataque cibernético que visa empresas se passando por um executivo ou funcionário da empresa para enganar outras pessoas para que enviem dinheiro, revelem informações confidenciais ou executem alguma ação. Na maioria das vezes, ocorre da seguinte maneira;

  • Primeiro, o invasor faz uma pesquisa sobre a empresa-alvo e descobre quem são o CEO, o CFO e outros executivos de alto escalão.
  • Em segundo lugar, o invasor cria uma conta de e-mail falsa ou invade uma conta de e-mail existente pertencente a um dos principais funcionários.
  • O invasor envia um e-mail cuidadosamente elaborado para outro funcionário da empresa, geralmente alguém do departamento financeiro ou contábil. O e-mail parece vir do executivo e pode usar linguagem e tom consistentes com o estilo de comunicação do executivo.
  • O e-mail solicita que o funcionário envie muito dinheiro para uma conta externa ou ofereça informações confidenciais, como registros de funcionários, dados de clientes ou propriedade intelectual.
  • O e-mail pode usar urgência, medo ou autoridade para pressionar o funcionário a atender à solicitação sem questionar.
  • O funcionário segue a solicitação porque acha que o e-mail é real. Ele ou ela transfere o dinheiro ou dá as informações conforme as instruções.
  • O invasor então retira os fundos ou utiliza as informações para seu próprio ganho, deixando a corporação sem dinheiro e potencialmente prejudicando o negócio.

Ferramentas de comprometimento de e-mail comercial

Os ataques de comprometimento de e-mail comercial (BEC) geralmente usam técnicas de engenharia social e não precisam de ferramentas especiais ou malware. Essas ferramentas e abordagens podem ajudar os golpistas de BEC, mas a engenharia social geralmente é a ferramenta mais eficaz. As empresas devem usar autenticação de dois fatores, triagem de e-mail, phishing e treinamento em engenharia social para evitar ataques BEC. A seguir estão algumas das ferramentas que os invasores usaram para comprometer o e-mail comercial;

#1. Ferramentas de coleta de e-mail

A primeira em nossa lista de ferramentas de comprometimento de negócios é a ferramenta de coleta de e-mail. O software de coleta de e-mail pode rastrear sites, mídias sociais e outras fontes de endereços de e-mail. Essas ferramentas podem ajudar os invasores a identificar possíveis alvos e criar listas de endereços de e-mail para direcionar seus golpes BEC.

#2. Ferramentas de falsificação

Os invasores podem usar ferramentas de falsificação para criar endereços de e-mail falsos que parecem vir de uma fonte legítima. Essas ferramentas permitem que o invasor altere o endereço “De” de um e-mail para parecer ser de um funcionário-alvo.

#3. Programas maliciosos

Os golpistas BEC podem usar malware para acessar a rede ou e-mail de um alvo. Os invasores podem usar keyloggers para roubar nomes de usuário e senhas ou ferramentas de acesso remoto para assumir o controle do computador de um alvo.

#4. Ferramentas de rastreamento de e-mail

Os invasores podem usar ferramentas de rastreamento de e-mail para monitorar a entrega e ler o status de seus e-mails fraudulentos. Isso pode ajudar os invasores a identificar possíveis vítimas com maior probabilidade de cair em seus golpes.

#5. Técnicas de Engenharia Social

A última em nossa lista de ferramentas de ataque ou comprometimento de e-mail comercial é a técnica de engenharia social. Os golpes de BEC dependem fortemente de táticas de engenharia social, como representação, urgência e autoridade. Os invasores podem usar técnicas de engenharia social para induzir os alvos a revelar informações confidenciais ou transferir fundos.

Referências

Uchenna é uma pesquisadora dedicada e apaixonada por impulsionar o crescimento dos negócios por meio de conteúdo atraente e soluções estratégicas de marketing. Ela tem formação em estudos de empreendedorismo e desenvolveu um forte desejo de ajudar as empresas a ter sucesso, apresentando soluções criativas e usando sua mente estratégica. Como profissional de marketing digital e redatora de conteúdo de SEO flexível, ela se destaca em atrair públicos-alvo com postagens envolventes, relevantes e úteis que aumentam o tráfego para os sites de seus clientes.

Deixe um comentário

O seu endereço de e-mail não será publicado. Os campos obrigatórios são marcados com *

- artigo anterior

SELF MADE MILLIONAIRE: o que você precisa saber e orientar

Artigo seguinte -

AS MELHORES EMPRESAS DE GÁS NATURAL NOS EUA E NO MUNDO

Você pode gostar